Allgemein
Es sollen nur die essentiell notwendigen Daten von Kunden und Anbietern
aufgenommen werden. Zur Sicherung der Integrität kommt SSL zum
Einsatz; die Verschlüsselung (SSL) kommt erst bei Übertragung
möglicherweise sensibler Daten zum tragen. Alle Daten die ausserhalb
von SSL-Sessions übertragen werden, können auf Anwendungsebene
verschlüsselt werden. (z.B. Mails werden mit pgp o.ä. verschlüsselt.)
Innerhalb von SSL-Sessions liegen z.B. die initiale Registrierung von
Kunde und Anbieter (nur online möglich), das Einstellen von Angeboten
(online oder durch das Clientprogramm des Anbieters), das Bieten, das
Kaufen, die Erfassung von Zahlungsinformationen.
Der Anbieter bekommt bei Abschluss eines Kaufvertrages eine Mitteilung
per eMail, die jedoch nur auf den erfolgten Kauf hinweist. Die genauen
Daten und Kundendaten sind ihm durch einen verschlüsselten Webzugang
oder durch das Clientprogramm (auch hier werden die Daten verschlüsselt
übertragen) zugänglich.
Der Plattformbetreiber darf Kunden und Anbieter ablehnen.
Kunden und Anbieter müssen sich per Benutzernamen/Passwort am
System anmelden und sind dann erst berechtigt, Angebote abzugeben, bzw.
zu kaufen/zu bieten. Die zur Anmeldung erforderlichen Daten von Kunde
und Anbieter werden keiner Korrektheitsprüfung unterzogen (etwa
ob eine Adresse auch real existiert etc). Auch Angaben zu Zahlungsarten
(Kontoverbindung, Kreditkartennummer etc) werden nicht auf Korrektheit
überprüft.
Es ist möglich, Tickets zu einem ermässigten Preis anzubieten.
Im System sind jedoch keine Mechanismen vorgesehen den Kunden zu prüfen,
ob er für diese Ermässigung legitimiert ist. Dies wird also
auf den Anbieter verlagert (z.B. bei der Einlasskontrolle).
Der Systemnutzer kann die Identität des Systems durch ein digitales
Zertifikat verifizieren. Das System ist auf den Dauerbetrieb ausgelegt.
Es wird keine spezielle Hardware eingesetzt um die Verfügbarkeit
zu erhöhen. Daher wird eine Verfügbarkeit von ~90% angestrebt.
|